Загальна фіксована кількість витоків в першому півріччі 2009 р. в порівнянні з аналогічним періодом 2008 р. показала тенденцію до збільшення (2,3 витоки за добу), а в другому півріччі почала знижуватися і за підсумками року склала 735 витоків/365 днів, або 2,0 витоки за добу. У зв’язку з поступовим впровадженням DLP-систем і інших засобів захисту від внутрішніх інцидентів аналітики InfoWatch чекають плавного зменшення числа інцидентів. В цілому ж в порівнянні з 2008 р. число витоків виросло на 39%: 735 проти 530.

Серед основних тенденцій минулого року фахівці InfoWatch також відмітили збільшення частки умисних витоків. На їх думку, число таких витоків найближчим часом неухильно зростатиме. На погляд аналітиків InfoWatch, як захист, так і витоки персональних даних є найзначнішими статтями витрат при оцінці вартості інформаційних ризиків. При цьому захисники інформації надмірно сконцентровані на електронному захисті, випустивши з уваги традиційні (переважно випадкові) витоки паперових носіїв, які можна запобігти лише організаційними заходами, наголошується в звіті InfoWatch.

У посткризових умовах при необхідності жорсткої економії засобів на захист інформації варто почати з шифрування даних на ноутбуках і фільтрації інтернет-трафіку на шлюзі - це найвірогідніші канали витоку даних. Проте такий захист ефективно працює лише проти випадкових витоків (43,5%), підкреслили аналітики InfoWatch.

Основою для даного звіту послужила база даних витоків, яку веде аналітичний центр компанії InfoWatch з 2004 р. В базу входять витоки в різних країнах світу, інформація про які була опублікована в ЗМІ, блогах, веб-форумах і інших загальнодоступних джерелах.

Кожна компанія (100%) в 2009 році потерпіла збиток через кібер-атаки. Основні три напрями атак, на думку опитаних, це крадіжка інтелектуальної власності, крадіжка фінансової інформації клієнта або даних його кредитної карти або крадіжка особистих ідентифікаційних даних клієнта. Ці втрати обертаються грошовими витратами в 92% випадків. Основні витрати – це продуктивність, дохід і зниження клієнтської довіри. Подібні атаки обходяться компаніям в середньому по $2 мільйони в рік.

Корпоративна безпека стає все більш складною через велику кількість чинників. По-перше, через брак кадрів. За словами учасників опиту найнеукомплектованіші сфери – це мережева безпека (44%), безпека кінцевих точок (44%), безпека передачі повідомлень (39%). По-друге, компанії модернізують свою інформаційну структуру, в зв’язку, з чим забезпечення безпеки значно ускладнюється. Найпроблемніші з погляду безпеки – сервісні функції - infrastructure-as-а-service (I-a-а-S), platform-as-а-service (P-a-а-S), серверна віртуалізація, віртуалізація кінцевих точок і software-as-а-service (S-a-а-S).

Вчені знайшли можливість отримання малих частин секретного ключа RSA за допомогою дії на блок живлення системи незначними флуктуаціями напруги у момент обробки зашифрованих повідомлень. Генеруючи однобітові помилки в операціях множення, дослідники зуміли одержати порції розрядів секретного ключа. Після отримання 8800 некоректно сформованих RSA-сигнатур від атакованого пристрою, дослідники відправили дані для аналізу на кластер, що складається з 81 системи на базі 2,4-ГГц процесорів Intel Pentium 4. Експериментальна атака проводилася на вбудовувану систему на базі чипа SPARC, що працює під управлінням Linux. Трохи більше ста годин їм вистачило для отримання у такий спосіб цілого 1024-розрядного ключа.

Як наголошується, дана атака не така небезпечна для серверних систем, які звичайно знаходяться в приміщеннях з обмеженим доступом, як для призначених для користувача пристроїв. Наприклад, в Blu-ray плеєр може бути “ушитий” секретний ключ для захисту інтелектуальної власності, і маючи повний фізичний доступ до системи хакер може скористатися знайденою уразливістю. Але і серверні системи не можна виключати із зони ризику, адже для витончених зловмисників відсутність фізичного доступу не може стати серйозною перешкодою для атаки.

У даний момент дослідники також вивчають можливість використання даної уразливості за допомогою лазерів або природних джерел випромінювання. Також цікаво відзначити, що учені не виключають можливість використання даного методу атаки і для інших криптографічних бібліотек, наприклад, пропонованих Mozilla Foundation.

Реалізувати запропоновану дослідниками атаку дуже складно з технічної точки зору, хоча її можна застосувати до самих різних типів пристроїв, включаючи мультимедійні програвачі і смартфони з технологіями захисту від копіювання. На щастя, виправити знайдену уразливість легко, вважають вчені. Достатньо додати надмірної інформації в алгоритм корекції помилок, що зробить атаку неможливою. Офіційний представник OpenSSL Project, що побажав залишитися невідомим, заявив, що інженери вже працюють над випуском відповідного виправлення.

Про це мовиться в новому звіті Федеральної Корпорації страхування банківських внесків США (U.S. Federal Deposit Insurance Corporation). Малий бізнес США втратив через інтернет-шахраїв в третьому кварталі близько $25 млн.

За словами Девіда Нельсона (David Nelson), фахівця FDIC, майже всі випадки шахрайства пов’язані із зараженням комп’ютера жертви шкідливим кодом, після чого зловмисники дістають доступ до його особистої інформації і знімають гроші з рахунків.

Даний вид шахрайства набирає популярність з 2007 р. Очікується, що в 2010 р. втрати американських компаній через це виростуть ще більше.

«Перша лінійка вітчизняних побутових пристроїв і програмного забезпечення для захисту мобільних телефонів від прослуховування і шпигунських атак, яка матиме офіційну ліцензію ФСБ РФ, надійде на прилавки російських магазинів до кінця 2010 року», - сказав Коровін.

Він відзначив, що дослідний зразок вже пройшов успішні випробування. Пристрій був розроблений фахівцями одного з НДІ для професійного захисту мобільних засобів зв’язку і адаптований для масового ринку.

Російський «антишпигун» дешевший за західні аналоги, вартість яких доходить до 90 тисяч рублів. Крім того, він підходить до всіх засобів мобільного зв’язку, включаючи не тільки телефони, але і ноутбуки, обладнані стандартом Bluetooth.

Пристрій встановлюється не на сам мобільний телефон, а вбудовується в Bluetooth, тобто говорити доведеться тільки через гарнітуру.

У минулому листопаді експерти по комп’ютерній безпеці вперше показали метод злому WPA, але японці підняли методику на новий рівень. Фактично, вони теорію перетворили на практику, як виразився організатор листопадової конференції PacSec Дрегос Ріу (Dragos Ruiu). Попередня версія техніки атаки, розроблена Мартіном Беком (Martin Веськ) і Еріком Тевсом (Erik Tews), працювала для обмеженого числа пристроїв з WPA і вимагала 12-15 мін, до того ж могла бути впроваджена лише в системах, в яких застосовується алгоритм TKIP (Temporal Key Integrity Protocol). Мережеві пристрої з WPA 2 і відповідно алгоритмом шифрування AES залишалися захищеними.

Криптографічні системи, що використовуються в бездротових маршрутизаторах, мають довгу історію проблем з безпекою. Захисний механізм WEP (Wired Equivalent Privacy), представлений в 1997 році, був зламаний декількома роками пізніше і тепер не признається як стандарт. WPA з TKIP був “розроблений як проміжний метод шифрування в еволюції Wi-Fi кілька років тому”, як говорить маркетинговий директор Wi-Fi Alliance Келлі Девіс-Фелнер (Kelly Davis-Felner). Тепер всім необхідно перейти на WPA 2. Підтримка стандарту в бездротових продуктах введена в 2006 році. Як вважає виконавчий директор компанії Errata Security Роберт Грехем (Robert Graham), корпоративні мережі Wi-Fi звичайно включають програмне забезпечення, яке здатне зафіксувати атаку типу man-in-the-middle (”людина посередині”), описану японськими фахівцями. Проте сам факт повинен примусити користувачів мереж і адміністраторів надати безпеці підвищену увагу.

Не дивлячись на зростаючу популярність віддаленої роботи співробітників, з’ясувалося, що лише 27% організацій захищають свої дані шляхом шифрування вмісту жорстких дисків. Всього 9% організацій використовують шифрування змінних пристроїв зберігання, таких як USB-накопичувачі. Це означає, що більшість осіб, які носять з собою великі об’єми даних на портативних пристроях, ніяк не захищають конфіденційну корпоративну інформацію від втрати або крадіжки.

«Той факт, що тільки 30% організацій піклуються про шифрування своїх даних, говорить про те, що більшість підприємств схильна до ризику серйозного просочування інформації, - затверджує Жульетт Султан (Juliette Sultan), керівник служби маркетингу компанії Check Point. - В той же час, керівники усвідомлюють, що проблему треба якось вирішувати, у тому числі у зв’язку зі зростаючим числом мобільних співробітників».

Приблизно 47% респондентів вказали, що протягом року планують придбати додатки для захисту кінцевих точок. Найпопулярнішими виявилися засоби шифрування вмісту дисків (24%), засобу контролю доступу до мережі (22%) і утиліти для шифрування змінних носіїв (13%). Серед додатків, вже упроваджених в опитаних організаціях, були названі антивірусні пакети (90%), засоби боротьби з шпигунськими програмами (56%), персональні шлюзи безпеки (49%) і VPN-клієнти (49%).

Фахівці ІТ-служб в організаціях з числом співробітників до 5 тис. відзначали, що в даний час вони використовують окремі утиліти для захисту даних в середньому трьох різних виробників, що призводить до певних труднощів в управлінні безпекою. Найкрупніші підприємства застосовують програмні продукти п’яти виробників, що викликає ще більші труднощі.

Всього в опитуванні взяли участь 224 фахівця по ІТ і комп’ютерній безпеці. Опитуванням Check Point були охоплені різні сектори економіки. Так, 18% респондентів представляли фінансовий сектор, 14% - промислове виробництво і 11% - органи державного і муніципального управління. При цьому 44% представляли Північну і Південну Америку, 42% - країни EMEA і 11% - Азіатсько-тихоокеанський регіон.

Поборники невтручання в приватний життєвий простір проявляють все більше турботи щодо “біометричної небезпеки”: компанії, які сканують сітківку ока для видачі ідентифікаційного бейджа, можуть також дозволити урядовим структурам або комерційним суб’єктам використовувати біометричні дані для поповнення баз даних без згоди індивідуума як в законних цілях, так і в сумнівній легітимності. Тому канадські і європейські експерти сходяться на думці, що інформація такого характеру вимагає шифрування. Уповноважена з питань інформації і недоторканності приватного життя в провінції Онтаріо Енн Кевоукьен (Ann Cavoukian) надала рекомендацію щодо розробки міжнародних стандартів криптографічного захисту біометричних даних, щоб гарантувати їх використовування тільки в рамках закону, наприклад, для перевірки особи володаря паспорта. “В Європі і багатьох інших країнах паспортна система поступово звертається до біометрії, - говорить Кевоукьен. - Я не бачу в цьому проблеми, тому як вона служить розпізнаванню моєї особи. Вона підтверджує, що персона, що тримає паспорт - це я. Але проблема в тому, що відповідні дані поступають в центральну базу даних, до якої може дістати доступ державна машина”. В Нідерландах у стадії розгляду знаходиться закон, який припускає збір воєдино відбитків пальців всіх громадян з паспортами, і правова система може “відправлятися на рибалку”, як виразилася Кевоукьен. “Це шлях до біди”, - скептично помічає вона.

Згідно торішньому звіту консалтингової компанії International Biometric Group, відбитки пальців складають дві третини від всіх біометричних даних, що використовуються сьогодні. Один з можливих криптографічних стандартів для них розробила нідерландська компанія priv-ID - дочірня структура Philips Electronics. Головний виконавчий директор Майкл ван дер Вин (Michiel van der Veen) розповідає, що замість зберігання відбитків системи priv-ID зберігають тільки коди, еквівалентні шестизначним PIN-кодам. Що використовуються в Південній Африці і Свазіленде, системи перетворять знімок відбитку в числовий ряд за допомогою математичної функції хешування - алгоритму, який генерує невеликий унікальний набір чисел з великого файлу. За словами ван дер Вина, навіть два набори відбитків однієї і тієї ж людини, зроблені за різних умов - наприклад, з чистими руками в одному випадку і забрудненими в другому - матимуть однаковий згенерований код. Але отримання однакових цифрових образів від двох різних людей практично виключено. “Мені подобається порівнювати таку систему з парольним захистом комп’ютера”, - ділиться ван дер Вин. Коли власник проходить авторизацію на ноутбуці, не відбувається порівняння введеного пароля зі збереженою на диску копією; натомість введений ряд знаків конвертується в хэш-функцію, а потім тільки відбувається порівняння з такою для вірного пароля. “Якщо файл пароля вкрадений, - продовжує глава priv-ID, - можна не хвилюватися, оскільки він захищений хэш-функцією”. Ральф Родрігез (Ralph Rodriguez) з розташованої в Бостоні компанії Delfigo Security вважає, що найбільшою проблемою з використанням біометрії для ідентифікації є той факт, що навіть якщо вони зашифровані, вчинений одного разу злом скомпрометує їх назавжди: “У мене немає іншого великого пальця”, - іронізує експерт. Родрігез замість пропонує інше рішення - “адаптивну” біометрію: розглядати часовий відрізок, протягом якого вводиться ключова фраза або пароль, наприклад, на рівні мілісекунди. Тривалість натиснення кожної клавіші і час між ними представляють надійні ідентифікатори, які можуть конкурувати з біометрією. “Причина такого вибору лежить в мускульній пам’яті. Комбінації того, як дії проводилися раніше, манера тримати руки, координація між очима і руками - все це тісно пов’язано з конкретною персоною”, - пояснює Родрігез. Тому компанії і державні органи, використовуючи адаптивну біометрію, можуть однозначно ідентифікувати особу без необхідності звернення до відбитків або ДНК, яка, не будучи зашифрованою, може послужити інструментом вторгнення тим або іншим чином в приватне життя.

Реальна небезпека некоректного поводження з біометричним даними поки є проблемою майбутнього, говорить Насир Мемон (Nasir Memon) з Політехнічного інституту Нью-йоркського університету в Брукліні. На сьогоднішній день захист кредитних карт і інших ідентифікуючих особу і її власність даних є першорядною задачею. “На даному етапі це цікава проблема, - говорить Мемон. - Але з розповсюдженням біометрії виростуть і загрози. Коли вперше почав використовуватися Інтернет, люди не дуже турбувалися про безпеку. Вона також сприймалася всього лише “цікавою проблемою”, не більше”.

Атака хакера подібного роду була експериментально продемонстрована на відстані до 15 метрів від комп’ютера, проте потенційне удосконалення системи може означати, що крадіжка даних можлива і на значно більшій відстані. «Наша мета - показати, що просочування інформації може відбутися самим несподіваним чином», - відзначають в своєму дослідженні Андреа Барісані (Andrea Barisani) і Даніеле Бьянко (Daniele Bianco) з Inverse Path.

У дослідженні використовувався кабель, під’єднаний до клавіатури з роз’ємом PS/2. Шість дротів усередині такого кабелю звичайно розташовано близько один до одного і погано екрановані. Це означає, що інформація, яка передається по цих дротах при натисненні клавіші на клавіатурі, також потрапляє і в заземляючий дріт в тому ж самому кабелі. Через заземляючий дріт і розетку інформація потрапляє в електромережу. Як кажуть дослідники, властивості кабелю стандарту PS/2 дозволяють без вагань визначити по коливаннях напруги, яка саме клавіша була натиснена. Для збору даних використовувався цифровий осцилограф.

Дотепер розробка квантових комп’ютерів слідувала традиційній бінарній обчислювальній моделі. Вона кодує всю інформацію за допомогою компонентів, які можуть знаходитися в двох станах, 0 або 1. Але існують і інші можливості. Нілі пояснює, що можна використовувати тернарну систему з трьома цифрами, і тоді основні одиниці повинні стати трійковими, або тритам (trinary digit), тобто будуть, по суті, трьохпозиційні перемикачі. Один трит міститиме більше інформації, ніж звичний біт.

Команда Нілі вже побудувала квантовий комп’ютер, чиї стандартні блоки мають п’ять основних станів. До сьогоднішнього дня стандартні блоки квантових комп’ютерів були бінарними квантовими бітами (кубітами), які кодували два положення в квантовий спін атомів, електронів або протонів. Здатність таких частинок ігнорувати звичну логіку і існування відразу в декількох квантових станах повинні одного разу дозволити квантовим комп’ютерам виконувати величезну кількість обчислень одночасно.

Дослідники використовували надпровідний алюміній і кремнієву схему на сапфіровій підкладці для отримання п’ятирежимних кубітів або кудитів (qudit). В кудитах міститься ще більше інформації, ніж в кубітах, що дозволить проводити обчислення з меншою кількістю кудитів, пояснюють учені. Порушуючи мікрохвильові фотони п’яти різних частот в схемі, вони змогли сприяти їх переходам між п’ятьма дискретними енергетичними рівнями. Також був розроблений метод квантового вимірювання, який дозволяє розрізняти між собою ці рівні.

Проте один кудит мало що дає. Джонатан Хоум (Jonathan Home) з Національного інституту стандартів і технологій (National Institute Standards and Technology, NIST) в Боулдері заявив, що команді Нілі необхідно розширити цю базову систему, щоб два або більш кудитів могли передавати інформацію між собою, дозволяючи здійснювати складніші обчислювальні операції. “Розробка такого роду систем, де два кудита взаємодіють, але все ще зберігають цікаві властивості п’ятирежимної системи, і буде головною задачею”, - говорить Хоум.

Потенційні можливості квантових комп’ютерів вже викликають інтерес Управління перспективних досліджень (Advanced Research Projects Agency) США, яке сподівається використовувати їх для злому кодів. Це управління вже надає підтримку дослідженням Хоума в області квантових комп’ютерів, що працюють при кімнатній температурі, щоб бінарні кубіти могли взаємодіяти і обмінюватися інформацією. Останні результати показують, що іони магнію можуть використовуватися для зупинки взаємної дестабілізації кубітів через передачу тепла, рівно як і їх квантових станів.

Цей трюк використовує щільно стислий ланцюжок іонів берилія як кубітів, тоді як прилеглі іони магнію поглинають все тепло. Тепло, як правило, призводить до руйнування квантової інформації. “І це відкриє шлях великомасштабним квантовим обчисленням, оскільки це служить важливій задачі - передачі інформації”, - говорить Хоум.